Sdílet prostřednictvím


Seznam přiřazení zamítnutí Azure

Podobně jako přiřazení role připojí přiřazení zamítnutí sadu akcí zamítnutí k uživateli, skupině nebo instančnímu objektu v určitém oboru pro účely odepření přístupu. Přiřazení zamítnutí blokuje uživatelům možnost provádět určité akce s prostředky Azure i v případě, že přiřazení role jim přístup uděluje.

Tento článek popisuje, jak vypsat přiřazení zamítnutí.

Důležité

Vlastní přiřazení zamítnutí si nemůžete vytvářet přímo. Přiřazení zamítnutí se vytvářejí a spravují v Azure.

Jak se vytvářejí přiřazení zamítnutí

Přiřazení zamítnutí vytváří a spravuje Azure za účelem ochrany prostředků. Vlastní přiřazení zamítnutí si nemůžete vytvářet přímo. Při vytváření zásobníku nasazení však můžete zadat nastavení zamítnutí, které vytvoří přiřazení zamítnutí, které vlastní prostředky zásobníku nasazení. Zásobníky nasazení jsou aktuálně ve verzi Preview. Další informace naleznete v tématu Ochrana spravovaných prostředků před odstraněním.

Porovnání přiřazení rolí a zamítnutí přiřazení

Přiřazení zamítnutí se řídí podobným vzorem jako přiřazení rolí, ale mají také určité rozdíly.

Schopnost Přiřazení role Přiřazení zamítnutí
Udělit přístup
Odepření přístupu
Lze vytvořit přímo
Použití v oboru
Vyloučení objektů zabezpečení
Zabránění dědičnosti podřízeným oborům
Platí pro přiřazení klasického správce předplatného

Odepřít vlastnosti přiřazení

Přiřazení zamítnutí má následující vlastnosti:

Vlastnost Požaduje se Type Popis
DenyAssignmentName Ano String Zobrazovaný název přiřazení zamítnutí Názvy musí být pro daný obor jedinečné.
Description No String Popis přiřazení zamítnutí
Permissions.Actions Alespoň jedna akce nebo jedna akce DataActions Řetězec[] Pole řetězců, které určují akce řídicí roviny, ke kterým přiřazení zamítnutí blokuje přístup.
Permissions.NotActions No Řetězec[] Pole řetězců, které určují akci řídicí roviny, která se má vyloučit z přiřazení zamítnutí.
Permissions.DataActions Alespoň jedna akce nebo jedna akce DataActions Řetězec[] Pole řetězců, které určují akce roviny dat, ke kterým přiřazení zamítnutí blokuje přístup.
Permissions.NotDataActions No Řetězec[] Pole řetězců, které určují akce roviny dat, které se mají vyloučit z přiřazení zamítnutí.
Scope No String Řetězec, který určuje obor, na který se vztahuje přiřazení zamítnutí.
DoNotApplyToChildScopes No Logická hodnota Určuje, jestli se přiřazení zamítnutí vztahuje na podřízené obory. Výchozí hodnotou je false.
Principals[i].Id Ano Řetězec[] Pole ID objektů instančního objektu Microsoft Entra (uživatel, skupina, instanční objekt nebo spravovaná identita), na které se přiřazení zamítnutí vztahuje. Nastavte na prázdný identifikátor GUID 00000000-0000-0000-0000-000000000000 , který bude představovat všechny objekty zabezpečení.
Principals[i].Type No Řetězec[] Pole typů objektů reprezentovaných objekty[i].ID. Je nastaveno tak, aby SystemDefined představovalo všechny objekty zabezpečení.
ExcludePrincipals[i].Id No Řetězec[] Pole ID objektů instančního objektu Microsoft Entra (uživatel, skupina, instanční objekt nebo spravovaná identita), na které se přiřazení zamítnutí nevztahuje.
ExcludePrincipals[i].Type No Řetězec[] Pole typů objektů reprezentované funkcí ExcludePrincipals[i].Id.
IsSystemProtected No Logická hodnota Určuje, jestli bylo toto přiřazení zamítnutí vytvořeno v Azure a nelze ho upravit ani odstranit. V současné době jsou všechna přiřazení zamítnutí chráněná systémem.

Všechny objekty zabezpečení

Pro podporu přiřazení zamítnutí byl zaveden objekt zabezpečení definovaný systémem s názvem Všechny objekty zabezpečení. Tento objekt zabezpečení představuje všechny uživatele, skupiny, instanční objekty a spravované identity v adresáři Microsoft Entra. Pokud je ID objektu zabezpečení nula GUID 00000000-0000-0000-0000-000000000000 a typ objektu zabezpečení je SystemDefined, představuje objekt zabezpečení všechny objekty zabezpečení. Ve výstupu Azure PowerShellu vypadají všechny objekty zabezpečení takto:

Principals              : {
                          DisplayName:  All Principals
                          ObjectType:   SystemDefined
                          ObjectId:     00000000-0000-0000-0000-000000000000
                          }

Všechny objekty zabezpečení se dají kombinovat, ExcludePrincipals aby se odepřely všechny objekty zabezpečení s výjimkou některých uživatelů. Všechny objekty zabezpečení mají následující omezení:

  • Lze použít pouze v Principals a nelze jej použít v ExcludePrincipals.
  • Principals[i].Type musí být nastavena na SystemDefinedhodnotu .

Zobrazení seznamu zamítnutých přiřazení

Pokud chcete zobrazit seznam odepření přiřazení, postupujte podle těchto kroků.

Důležité

Vlastní přiřazení zamítnutí si nemůžete vytvářet přímo. Přiřazení zamítnutí se vytvářejí a spravují v Azure. Další informace naleznete v tématu Ochrana spravovaných prostředků před odstraněním.

Požadavky

Pokud chcete získat informace o přiřazení zamítnutí, musíte mít:

  • Microsoft.Authorization/denyAssignments/read oprávnění, která je součástí většiny předdefinovaných rolí Azure.

Výpis přiřazení zamítnutí na webu Azure Portal

Podle těchto kroků vypíšete přiřazení zamítnutí v oboru předplatného nebo skupiny pro správu.

  1. Na webu Azure Portal otevřete vybraný obor, například skupinu prostředků nebo předplatné.

  2. Vyberte Řízení přístupu (IAM) .

  3. Vyberte kartu Odepřít přiřazení (nebo vyberte tlačítko Zobrazit na dlaždici Zobrazit přiřazení zamítnutí).

    Pokud v tomto oboru existují nějaká přiřazení zamítnutí nebo zděděná do tohoto oboru, zobrazí se v seznamu.

    Snímek obrazovky se stránkou Řízení přístupu (IAM) a kartou Odepřít přiřazení se seznamem přiřazení zamítnutí ve vybraném oboru

  4. Pokud chcete zobrazit další sloupce, vyberte Upravit sloupce.

    Snímek obrazovky s podoknem sloupců zamítnutí přiřazení, které ukazuje, jak přidat sloupce do seznamu přiřazení zamítnutí

    Sloupec Popis
    Jméno Název přiřazení zamítnutí
    Typ objektu zabezpečení Uživatel, skupina, systémově definovaná skupina nebo instanční objekt
    Popíral Název objektu zabezpečení, který je součástí přiřazení zamítnutí.
    Id Jedinečný identifikátor přiřazení zamítnutí.
    Vyloučené objekty zabezpečení Zda existují objekty zabezpečení, které jsou vyloučeny z přiřazení zamítnutí.
    Nevztahuje se na podřízené položky. Určuje, jestli je přiřazení zamítnutí zděděno do dílčích oborů.
    Ochrana systému Určuje, jestli je přiřazení zamítnutí spravované v Azure. V současné době vždy ano.
    Scope Skupina pro správu, předplatné, skupina prostředků nebo prostředek
  5. Přidejte značku zaškrtnutí do některé z povolených položek a pak vyberte OK , aby se zobrazily vybrané sloupce.

Výpis podrobností o přiřazení zamítnutí

Pokud chcete zobrazit další podrobnosti o přiřazení zamítnutí, postupujte podle těchto kroků.

  1. Otevřete podokno Odepřít přiřazení, jak je popsáno v předchozí části.

  2. Výběrem názvu přiřazení zamítnutí otevřete stránku Uživatelé .

    Snímek obrazovky se stránkou Uživatelé pro přiřazení zamítnutí, které obsahuje seznam platí pro a vyloučení

    Stránka Uživatelé obsahuje následující dvě části.

    Odepřít nastavení Popis
    Zamítnutí přiřazení se vztahuje na Objekty zabezpečení, na které se přiřazení zamítnutí vztahuje.
    Vyloučení přiřazení zamítnutí Objekty zabezpečení, které jsou vyloučené z přiřazení zamítnutí.

    Objekt zabezpečení definovaný systémem představuje všechny uživatele, skupiny, instanční objekty a spravované identity v adresáři Azure AD.

  3. Pokud chcete zobrazit seznam oprávnění, která jsou odepřena, vyberte Odepřít oprávnění.

    Snímek obrazovky se stránkou Odepření oprávnění pro přiřazení zamítnutí se seznamem odepřených oprávnění

    Typ akce Popis
    Akce Odepření akcí řídicí roviny
    NotActions Akce roviny řízení vyloučené z odepřených akcí řídicí roviny
    Akce dat Akce roviny dat byly odepřeny.
    NotDataActions Akce roviny dat vyloučené z odepřených akcí roviny dat

    V příkladu zobrazeném na předchozím snímku obrazovky jsou platná oprávnění:

    • Všechny akce úložiště v rovině dat jsou odepřeny s výjimkou výpočetních akcí.
  4. Pokud chcete zobrazit vlastnosti přiřazení zamítnutí, vyberte Vlastnosti.

    Snímek obrazovky se stránkou Vlastnosti pro přiřazení zamítnutí se seznamem vlastností

    Na stránce Vlastnosti uvidíte název přiřazení zamítnutí, ID, popis a obor. Přepínač Nevztahuje se na podřízené položky určuje, zda je přiřazení zamítnutí zděděno do dílčích oborů. Přepínač chráněný systémem označuje, jestli toto přiřazení zamítnutí spravuje Azure. V současné době je to Ano ve všech případech.

Další kroky